SSLのページでも、引数の直接渡しはヤバいですか？

gooなどのサイトにログインする時、いちいちIDやパスワードを打ち込むのが面倒なのですが、

「https://goo.ne.jp/login.cgi?id=oraora&pass=orapa」
みたいな感じで、formタグのactionに指定されているページに対し、引数で直接IDやパスワードを記述してアドレスを打ち込むのは、sslのページでもやはり安全ではないのでしょうか？

というかDNSに問い合わせする際に、やっぱり引数もそのまま行っちゃうのでしょうか？

No.3 ベストアンサー 回答者： entree 回答日時： 2006/03/18 13:55

> 途中のプロキシをかましてないのであれば、接続先のWeb

> サーバーのログを閲覧できる管理者以外は引数を知るこ
> とはできない。と考えても良いのでしょうか？

Web サーバのログ以外にも、当然の事ながらブラウザの画面を直接覗かれた場合にも引数は漏れてしまいます。

なお、プロキシサーバについては、特殊なケース (SSL セッションをクライアントとサーバで確立するのではなく、プロキシサーバとサーバで確立する場合など) を除けば、プロキシサーバのログに引数が残ることはありませんし、SSL 通信の場合はキャッシュさえもされません。

これは、プロキシサーバが暗号化された内容を解読することができないからです。暗号化されたコンテンツの中身を中継サーバが見れるのなら、誰でも盗聴可能ってことになってしまいますよね。

ちなみに、パスワードは POST メソッドで送信することが強く推奨されています。ただし、サーバ側システムによっては、認証パスワードを平文のまま保存しているようなところもあるので、POST メソッドを使用したからといって、必ずしもパスワードが漏洩しないわけではありません。

この回答へのお礼

なるほど、大変参考になりました。

ブラウザのアドレス欄に出てしまうのはリスクとして心得るとして、ひとまず引数で直に打ち込んでしまってもそれなりの安全性はあるということで納得致しました。

まぁログインツール使えや＆cookie消すなや的な話かもしれませんが、、、。

ありがとうございました。

お礼日時：2006/03/18 19:18

No.2 回答者： Toshi0230 回答日時： 2006/03/18 00:53

パラメータを隠す、という点から言えば、GETメソッドはPOSTメソッドよりも遙かに安全性が落ちますが？

URLの中に引数を直接埋め込んだ場合、確実に言えるのは、途中のプロキシサーバや接続先のWWWサーバには、引数を含めたログが残ることです。
質問者さんのようなことをした場合、それらのサーバの管理者には、IDとパスワードの内容がだだ漏れになります。

この回答へのお礼

IDやパスワードなどの機密パラメータの場合、さすがに無理があるということで、とても参考になりました。ありがとうございました。

もうひとつ質問させていただきたいのですが、
途中のプロキシをかましてないのであれば、
接続先のWebサーバーのログを閲覧できる管理者以外は引数を知ることはできない。と考えても良いのでしょうか？

接続先のwebを表示するまでに、さまざまな経路を辿ると思うのですが、そこは大丈夫でしょうか？

お礼日時：2006/03/18 01:43

No.1 回答者： entree 回答日時： 2006/03/18 00:25

結論から言えば、問題ありません、安全です。

もし、それがダメだというのなら GET メソッドが安全ではないことになってしまいます。あと、DNS に引数まで付けて問い合わせが行われるようなことはありません。そんなことをされても DNS サーバは HTTP プロトコルを知らないので困ってしまうでしょう。

この回答へのお礼

確かにGETメソッドの場合、アドレスに引数が羅列されていました。言われてみればでした。

ある程度安全性はあるということでとても参考になりました。

回答ありがとうございました。

お礼日時：2006/03/18 01:38